ZIP y MSBuild oculto: qué hay detrás del nuevo ataque a militares que pasó desapercibido para los antivirus

El grupo de hackers Patchwork, también conocido por los nombres Dropping Elephant y Maha Grass, volvió a estar en el centro de atención tras una serie de ataques dirigidos contra las estructuras de defensa de Pakistán. En su última campaña, los atacantes utilizaron correos de phishing con archivos ZIP que contenían un proyecto MSBuild. Al ejecutarlo, activa un cargador que instala software malicioso escrito en Python.

El malware puede conectarse a un servidor remoto, ejecutar módulos en Python, ejecutar comandos y facilitar el intercambio de archivos. En esta campaña se emplearon técnicas de ocultación meticulosa —desde entornos de ejecución modificados hasta canales de comunicación ocultos y métodos de persistencia en el sistema.

Desde finales de 2025 se ha asociado al grupo con un nuevo troyano llamado StreamSpy. Este programa, antes desconocido, utiliza los protocolos WebSocket y HTTP para separar el control y la transferencia de archivos. Las instrucciones del servidor llegan por WebSocket, y los archivos se intercambian y envían por HTTP.

Análisis, realizado por la empresa china QiAnXin, mostró que StreamSpy tiene similitudes con otro malware llamado Spyder, que a su vez se considera una modificación de la familia WarHawk, vinculada al grupo SideWinder. El uso de Spyder por parte del grupo Patchwork se documenta desde 2023.

StreamSpy se distribuye a través de archivos con nombres como «OPS-VII-SIR.zip», alojados en el dominio «firebasescloudemail[.]com». El archivo ejecutable principal — «Annexure.exe» — recoge información del sistema y puede persistir en el sistema mediante el registro, el programador de tareas o un archivo LNK en la carpeta de inicio. El intercambio de datos con el servidor de comando se realiza a través de dos canales: WebSocket y HTTP.

Entre las capacidades del malware están la descarga y apertura de archivos, la ejecución de comandos mediante diferentes intérpretes, la recopilación de información sobre el sistema de archivos y las unidades conectadas, la transferencia y eliminación de archivos, así como la exploración del contenido de carpetas concretas. Algunos comandos descargan archivos ZIP cifrados, los descomprimen y ejecutan automáticamente su contenido.

QiAnXin también registró que en el mismo recurso se distribuyen variantes de Spyder con funciones ampliadas de recopilación de datos. Además, la firma digital de «Annexure.exe» se cruza con la de otro troyano — ShadowAgent, atribuido al grupo DoNot (también conocido como Brainworm). Ya en noviembre de 2025, el Centro de Análisis de Amenazas 360 clasificó este ejecutable como ShadowAgent.

Según los especialistas chinos, la aparición de StreamSpy y las modificaciones de Spyder indica que Maha Grass está desarrollando activamente su arsenal de software. El uso de canales WebSocket en StreamSpy puede interpretarse como un intento de eludir la filtración de tráfico y ocultar la actividad de comando. Además, la similitud entre las muestras confirma que Patchwork y DoNot, aparentemente, intercambian recursos y tecnologías.